要在 GitHub Actions 中自动部署并使用 Certum 代码签名证书,具体的配置流程取决于你购买的是云版证书(HSM/SimplySign)还是实体USB令牌(物理UKey)。以下是针对这两种常见场景的详细部署教程:
云版证书是目前在 CI/CD 环境中自动签名最推荐的方式,因为私钥安全地存储在远程硬件安全模块中,无需在本地或 Runner 上配置复杂的物理驱动。
1. 证书与账户准备
购买并开通 Certum 云版代码签名证书(如 SimplySign)。
在 CI 节点上安装并配置 SimplySign Desktop 客户端,并绑定移动端 2FA 认证。
2. 配置 GitHub Secrets
将证书相关的凭证(如账号、密码或 API Token)配置到 GitHub 仓库的 Settings -> Secrets and variables -> Actions 中,确保流水线可以安全读取。
3. 编写 GitHub Actions 工作流
在 .github/workflows 目录下创建或修改你的构建脚本。在打包完成后,调用 SignTool.exe
name: Sign Windows binaries
run: |
signtool sign /fd sha256 /tr https://time.certum.pl /td sha256 /n "你的证书名称" <你的可执行文件路径.exe>
1- name: Sign Windows binaries2 run: |3 signtool sign /fd sha256 /tr <Certum时间戳服务器URL> /td sha256 /n "你的证书名称" <你的可执行文件路径.exe>